HW行動(dòng)在經(jīng)過多年的發(fā)展,已經(jīng)是一個(gè)涉及多行業(yè)多人員的全員攻防演練�。
常態(tài)化攻防演練越來越接近實(shí)戰(zhàn)
HW行動(dòng)在經(jīng)過多年的發(fā)展,已經(jīng)是一個(gè)涉及多行業(yè)多人員的全員攻防演練�����。流程和規(guī)則也越來越清晰���,整體也更加偏向?qū)崙?zhàn)。在2024年的一個(gè)重大變化就是攻防演練的周期變長(zhǎng)���,從以前2周延長(zhǎng)到了2個(gè)月甚至更久�。藍(lán)隊(duì)過去那種集中力量高強(qiáng)度值守已是不可持續(xù)的方式�。這也能更好的摸清每個(gè)企業(yè)“真實(shí)”的安全防護(hù)能力。
在這個(gè)大背景下���,企業(yè)能持續(xù)發(fā)現(xiàn)潛在威脅的能力十分重要���。紅隊(duì)滲透后不再直接得分,而是在暗中潛伏以求獲得更大的戰(zhàn)果�。藍(lán)隊(duì)則需要在2個(gè)月的運(yùn)維中能發(fā)現(xiàn)這些威脅并進(jìn)行處置。這也更符合現(xiàn)代網(wǎng)絡(luò)攻防的真實(shí)情況�。
最后,因?yàn)樾录夹g(shù)新領(lǐng)域的增加,攻防演練也會(huì)考慮增加新行業(yè)的參與以及使用新的攻擊手段�,比如借助AI來讓攻擊更加高效。
F5安全運(yùn)營(yíng)建設(shè)理念
F5在攻防演練早期就給客戶介紹了面對(duì)實(shí)戰(zhàn)的現(xiàn)代安全運(yùn)營(yíng)理念�。傳統(tǒng)安全理念是在Day1(攻擊發(fā)生初期)就用各種手段把攻擊擋在門外。但實(shí)踐證明只要黑客全力以赴�����,總有辦法攻入到內(nèi)部����,所以現(xiàn)代的安全理念從Day1的阻斷,變成了Day N的持續(xù)安全運(yùn)營(yíng)的“持久戰(zhàn)”���。我們的安全團(tuán)隊(duì)要能不斷的發(fā)現(xiàn)潛伏的威脅���,及時(shí)發(fā)現(xiàn)及時(shí)處置并不斷優(yōu)化防護(hù)策略。
F5提出了四大能力來構(gòu)建現(xiàn)代安全運(yùn)營(yíng)架構(gòu)應(yīng)對(duì)2024的攻防實(shí)戰(zhàn)演練:
-自動(dòng)化:安全運(yùn)營(yíng)的持續(xù)發(fā)現(xiàn)持續(xù)優(yōu)化的流程一定需要引入自動(dòng)化運(yùn)維�,人工是很難在強(qiáng)度大、壓力大的攻防演練中毫無錯(cuò)誤�。
-持續(xù)監(jiān)控和處置:我們布防的安全節(jié)點(diǎn)除了防護(hù),還需要能發(fā)送流量和攻擊日志給統(tǒng)一監(jiān)控分析平臺(tái)����,由平臺(tái)做關(guān)聯(lián)分析發(fā)現(xiàn)潛在威脅�����。
-全?����!氨Α蓖渡洌航Y(jié)合零信任的理念,安全運(yùn)營(yíng)需要全面布防��,甚至從基礎(chǔ)設(shè)施布防到應(yīng)用內(nèi)部��,這就對(duì)我們能把安全能力投射到任何地方帶來了考驗(yàn)���,我們需要能夠在各種環(huán)境����,各種底座上部署安全能力�����。
-API加固:現(xiàn)代應(yīng)用都是基于API對(duì)外提供服務(wù)�,針對(duì)API的資產(chǎn)梳理,API的安全防護(hù)是現(xiàn)代應(yīng)用防護(hù)必不可少的�����。API加固是我們構(gòu)建安全運(yùn)營(yíng)所必須的能力之一。
針對(duì)構(gòu)建安全運(yùn)營(yíng)需要的四大能力��,F(xiàn)5的產(chǎn)品有天然的優(yōu)勢(shì):
-自動(dòng)化生態(tài):F5全系列產(chǎn)品都有強(qiáng)大的API接口和圍繞API的自動(dòng)化工具生態(tài)�。無論您是想用某種程序語言的SDK(比如python),還是用ansible�����,甚至就是用POSTMAN來對(duì)API操作�����,F(xiàn)5都提供了完備的自動(dòng)化工具生態(tài)��,讓您自動(dòng)化運(yùn)維上手變得非常簡(jiǎn)單����。
-安全大數(shù)據(jù)引擎:F5全系列產(chǎn)品支持大數(shù)據(jù)引擎,可以按照用戶要求自定義輸出流量的日志和安全事件���。企業(yè)通過SIEM��、SOAR等工具或手段做安全關(guān)聯(lián)分析���,發(fā)現(xiàn)潛在威脅���,自動(dòng)下發(fā)精細(xì)策略,實(shí)現(xiàn)安全監(jiān)控�����、發(fā)現(xiàn)和封禁的自動(dòng)化閉環(huán)���。
-OneWAAP:F5為API和WEB應(yīng)用提供了全棧防護(hù)能力,WAAP可以部署在任何位置���。比如AWAF以物理機(jī)和虛擬機(jī)部署在傳統(tǒng)數(shù)據(jù)中心���、CE部署在邊緣云和混合云環(huán)境、NAP部署在應(yīng)用內(nèi)部和容器化環(huán)境���。三個(gè)產(chǎn)品都是一個(gè)安全引擎�,一套安全策略配置�,實(shí)現(xiàn)全棧快速布防���。
-API發(fā)現(xiàn)和API防護(hù):現(xiàn)代應(yīng)用的安全防護(hù)圍繞著API展開�,API的加固需要兩個(gè)重要的能力。第一個(gè)是API發(fā)現(xiàn)���,我們要知道保護(hù)的對(duì)象才能做防護(hù)����,面對(duì)龐雜的API端點(diǎn)我們需要能自動(dòng)發(fā)現(xiàn)和梳理這些數(shù)字資產(chǎn)��。第二個(gè)是API防護(hù)����,我們要對(duì)各種API的schema有識(shí)別的能力,能支持多種主流的API認(rèn)證和授權(quán)的框架�����,比如OAUTH2.0/OIDC��。
總結(jié)
應(yīng)對(duì)攻防演練不應(yīng)該是企業(yè)的目標(biāo)���。企業(yè)應(yīng)該借助攻防演練來逐步實(shí)現(xiàn)符合現(xiàn)代安全理念的防護(hù)手段和思路�����,而“安全運(yùn)營(yíng)”正是當(dāng)今企業(yè)面對(duì)新威脅的唯一解�。為了實(shí)現(xiàn)安全運(yùn)營(yíng),我們認(rèn)為企業(yè)需要有四大能力�����,而F5都可以匹配這四大能力助力企業(yè)的安全運(yùn)營(yíng)����。
-自動(dòng)化
-持續(xù)監(jiān)控和處置
-全棧“兵力”投射
-API加固
立即登錄����,閱讀全文
閩公網(wǎng)安備 35010202001226號(hào)
